xz 后门事件引担忧：libsystemd 依赖关系的重审

鉴于最近的事件，关于systemd间接涉及的漏洞引发了一场重大的辩论，特别是在sshd/xz后门事件（CVE-2024-3094）中，突显了与libsystemd依赖关系相关的潜在安全风险，这是一个与systemd服务集成至关重要的库。

问题的关键在于观察到，由于libsystemd与所有systemd服务和希望与systemd通信的第三方服务相关联，它引入了额外的依赖关系，这些依赖关系可能成为漏洞的来源。

针对这种漏洞问题提出的解决方案是大幅减少libsystemd的依赖关系，仅包括标准C库libc，从而最小化潜在安全威胁的攻击面。当前的实现包括几个其他库，这些库可能对于实现核心libsystemd功能并不是必要的。

为了应对这些问题，对systemd提出了一个功能请求，即将libsystemd的依赖关系最小化到只包括libc。这一请求背后的理念是将libsystemd简化到其核心功能，从而减少可能影响系统安全的漏洞风险。

然而，这种方法可能涉及将libsystemd重新组织为多个库，每个库针对特定的API，并确保只在真正需要时包含必要的依赖关系。

systemd的关键人物Lennart Poettering通过强调最近的变化来解决这些安全担忧。据他称，在最新的git主要版本中，libsystemd不再将压缩库作为硬依赖。

此外，计划中将删除libgcrypt作为硬依赖，进一步简化libsystemd并增强系统安全性。此外，还指出sshd已经独立实现了sd_notify()函数，这是Poettering推荐给此类项目的做法。

最后，讨论还涉及以一种可以从ELF元数据中读取的方式暴露动态加载（dlopen）信息，提供了一种更透明的方式来理解和管理依赖关系。

这一提议建议采用协作方式，鼓励Linux生态系统中的各方利益相关者，包括软件包维护者和系统构建者，提供意见和支持。

有关整个讨论和提案的详细信息可以在项目的GitHub存储库上进行跟进。

The post xz 后门事件引担忧：libsystemd 依赖关系的重审 first appeared on Linux迷.